SC-200

核心服务

• Microsoft SentinelAWS 文档 ↗

  基于 Azure 构建的云原生 SIEM 和 SOAR，可摄取整个环境的遥测数据，使用 KQL 搜寻威胁，并通过自动化规则和 playbook 协调响应。

  为什么会出现在考试中： 领域 1（管理安全运营环境）以 Sentinel 作为 SIEM/SOAR 核心——预计会考查数据连接器、工作区和内容中心相关问题。

• Microsoft Defender XDRAWS 文档 ↗

  统一的事前和事后防御套件，可关联来自终结点、身份、电子邮件、云应用和数据的所有信号，并整合到单个事件队列和图形中。

  为什么会出现在考试中： 领域 3（管理事件响应）以 Defender XDR 作为跨工作负载事件调查界面——包括事件合并、证据和图形搜寻。

• Microsoft Defender for EndpointAWS 文档 ↗

  企业级 EDR，具备攻击面缩减、下一代防恶意软件、自动化调查、实时响应和高级搜寻功能，覆盖 Windows、macOS、Linux、iOS 和 Android 平台。

  为什么会出现在考试中： 领域 4（管理安全威胁）将 Defender for Endpoint 指定为用于设备驻留威胁检测、隔离和取证收集的 EDR 层。

• Microsoft Defender for CloudAWS 文档 ↗

  CNAPP 提供跨 Azure、AWS 和 GCP 的安全态势管理 (CSPM) 和工作负载保护 (CWP)，并将建议和运行时警报呈报至 Defender XDR。

  为什么会出现在考试中： 领域 2（配置保护和检测）考查 CWP 计划启用和 CSPM 修复——Defender for Cloud 是多云工作负载警报的指定控制。

• Microsoft Defender for Office 365AWS 文档 ↗

  保护 Microsoft 365 邮箱、Teams、SharePoint 和 OneDrive 免受网络钓鱼、BEC 和恶意附件攻击，通过安全链接、安全附件和攻击模拟训练实现。

  为什么会出现在考试中： 领域 2 + 领域 4 涵盖电子邮件/协作威胁——Defender for Office 365 提供 SOC 分析师分类所需的威胁资源管理器查询和策略控制。

• Microsoft Defender for IdentityAWS 文档 ↗

  本地 Active Directory 威胁检测，可从域控制器流量中发现侦察、横向移动、Kerberos 滥用和域控制活动。

  为什么会出现在考试中： 领域 4 涵盖混合身份威胁——Defender for Identity 是将事件馈送至 Defender XDR 的指定 AD 重点检测层。

• Microsoft Defender for Cloud AppsAWS 文档 ↗

  云访问安全代理 (CASB)，可发现影子 IT，通过反向代理应用会话控制，并使用 API 连接器和策略引擎保护受批准的 SaaS。

  为什么会出现在考试中： 领域 2 涵盖 SaaS 威胁场景——Defender for Cloud Apps 是影子 IT 发现和条件访问应用控制的指定控制。

• Microsoft Defender for IoTAWS 文档 ↗

  无代理 OT/IoT 网络监控（原 CyberX），以及用于检测工业和企业 IoT 段上异常行为的设备构建器代理。

  为什么会出现在考试中： 领域 4 涵盖 OT/IoT 威胁场景——Defender for IoT 是用于普渡模型可见性和 ICS 感知检测的指定平台。

专用服务

• KQL (Kusto Query Language)AWS 文档 ↗

  适用于 Log Analytics、Sentinel 和 Defender 高级搜寻的只读查询语言——采用管道和筛选语法对模式化事件表进行操作，用于即席和计划调查。

  为什么会出现在考试中： 每个领域都假定具备 KQL 流利度——领域 3 事件调查和领域 4 威胁搜寻要求考生能够阅读和编写 KQL 查询。

• Microsoft Sentinel Analytics RulesAWS 文档 ↗

  计划型、近实时 (NRT)、Microsoft、ML 行为和融合规则类型，可在 Sentinel 中将 KQL 查询和内置模板转化为警报和事件。

  为什么会出现在考试中： 领域 2 明确考查在配置检测时的分析规则类型、严重性调整和事件分组逻辑。

• Microsoft Sentinel Playbooks (Logic Apps)AWS 文档 ↗

  Logic Apps 工作流，由事件、警报或分析师操作触发，可自动化丰富数据、创建工单、禁用账户和主机遏制等操作。

  为什么会出现在考试中： 领域 3 涵盖 SOAR 自动化；Playbook 是自动化响应和与自动化规则相关的“人在回路”审批的指定答案。

• Microsoft Sentinel WorkbooksAWS 文档 ↗

  基于 Azure Monitor Workbooks 构建的可自定义仪表板，可跨一个或多个工作区可视化 Sentinel 数据、MITRE 覆盖率和分析师 KPI。

  为什么会出现在考试中： 领域 1 考查 SOC 报告和 MITRE 覆盖率可视化——Workbooks 为分析师和主管级别的报告提供了指定的遥测界面。

• Microsoft Sentinel WatchlistsAWS 文档 ↗

  经过整理的参考数据（VIP 用户、已终止雇员、IOC 馈送、资产层级），可通过 _GetWatchlist KQL 运算符加入分析规则和搜寻查询中。

  为什么会出现在考试中： 领域 2 在将检测范围限定到特定资产或从基线规则中排除噪音时引用 Watchlist。

• Microsoft Defender Threat IntelligenceAWS 文档 ↗

  威胁情报门户（原 RiskIQ），可通过 TI 连接器将攻击者基础设施、指标和文章映射到 Defender XDR 和 Sentinel 中。

  为什么会出现在考试中： 领域 4 考查 IOC 摄取和攻击者归因——Defender TI 是经过整理的指标馈送和威胁参与者配置文件的指定来源。

• Microsoft Defender External Attack Surface ManagementAWS 文档 ↗

  持续发现组织可归属的互联网暴露资产（域、主机、证书、IP 块），并揭示外部可观察到的风险。

  为什么会出现在考试中： 领域 4 涵盖外部攻击面场景——Defender EASM 是超出受管环境的影子资产发现的指定工具。

• Microsoft Defender Vulnerability ManagementAWS 文档 ↗

  适用于 Defender for Endpoint 环境的基于风险的漏洞评估，具备 CVE 清单、安全基线评分、软件清单和修复请求工作流功能。

  为什么会出现在考试中： 领域 4 框架了漏洞优先级排序和修复跟踪——Defender VM 是与 Intune 集成用于工单管理的指定工作负载。

安全与治理

• Microsoft Entra IDAWS 文档 ↗

  云身份提供商，可对用户和工作负载进行身份验证，并发出登录、审计和身份保护信号，供 Sentinel 和 Defender XDR 在事件期间进行关联。

  为什么会出现在考试中： 领域 3 事件范围界定反复围绕 Entra ID 的用户、登录和风险信号展开——分析师需要阅读这些日志并应用密码重置/撤销会话等遏制措施。

• Azure Monitor and Log AnalyticsAWS 文档 ↗

  遥测管道和 KQL 支持的 Log Analytics 工作区，Sentinel 在其之上运行——数据收集规则、自定义日志和保留策略都流经此层。

  为什么会出现在考试中： 领域 1 考查工作区架构、日志摄取和数据驻留——Sentinel 特定的控制设置位于 Azure Monitor / Log Analytics 基础之上。

• Azure LighthouseAWS 文档 ↗

  跨租户管理平面，允许 MSSP 或中央 SOC 使用委派的 RBAC 跨客户租户管理 Sentinel 工作区、Defender for Cloud 和 Azure 资源。

  为什么会出现在考试中： 领域 1 涵盖多租户 SOC 场景——Lighthouse 是 MSSP 式跨租户 Sentinel 访问的指定平台。

• Microsoft Defender for Cloud Regulatory ComplianceAWS 文档 ↗

  Defender for Cloud 中内置的合规态势引擎，可将建议映射到框架（CIS、ISO 27001、NIST 800-53、PCI DSS）并随着时间推移跟踪修复情况。

  为什么会出现在考试中： 领域 1 将合规态势视为 SOC 经理的职责——Defender for Cloud Regulatory Compliance 是分析师和主管参考的指定仪表板。

典型职位

• SOC 分析师（一级/二级）
• 安全运营工程师
• 事件响应人员
• 威胁搜寻员
• Microsoft Sentinel 工程师
• 检测工程师
• 托管安全服务 (MSSP) 分析师

薪资范围（美国，估算）

$85k–$120k–$165k USD 每年

此范围涵盖美国境内的 SOC 分析师、检测工程和 Sentinel 相关职位。一级分析师和非沿海市场薪资偏低；大型企业或 MSSP 的高级检测工程师和威胁搜寻员薪资偏高。仅持有 SC-200 证书并不能显著提高薪资——熟练掌握 KQL 和具备过往事件响应经验才是更大的驱动因素。

来源：U.S. BLS OEWS May 2024 (15-1212 information security analysts, median ~$120k), levels.fyi 2025–2026 security-engineering and SOC roles, (ISC)² Cybersecurity Workforce Study 2024。数据为估算值；实际薪酬取决于职位、地区和经验。

市场需求

Microsoft Sentinel 和 Defender XDR 在中端市场和企业 SOC 中被广泛部署，因为它们与现有的 Microsoft 365 和 Azure 环境自然契合，这使得 SC-200 成为最受认可的 SOC 分析师认证之一。招聘人员将其用作一级和二级分析师、检测工程以及 Sentinel 实施岗位的筛选信号，MSSP 也经常将其列为运行 Sentinel 托管服务的工程师的首选资质。(ISC)² 劳动力数据显示，2024-2026 年间对安全运营人才的需求持续未得到满足，这使得 SC-200 持有者即使在职业生涯早期也极具吸引力。将 SC-200 与 AZ-500 或 SC-300 搭配使用，可显著增强高级 SOC 和以身份为中心的检测职位的简历竞争力。